Schädliche Proggs und deren Quelle

#1 Hallöchen , oder besser hubuhuuuuuu *gg* @ All

Nach einigem Suchen ist mir aufgefallen das oft ein und derselbe Name, und dessen Auswirkungen hier autauchen.
Es geht um Filesharingproggs bzw. angebliche Hilfetools oder Plugins, die oftmals arglos von Usern installiert werden.
Die Schadprogramme sind leider weit verbreitet, ihre Namen kennt allerdings nicht jeder.

Am häufigsten anzutreffen ist wohl die k.exe, die aber auch unter k1.exe, k2.exe, gewinnspiel.exe,
und seit neuestem unter help.exe auf den Rechnern lauern.
Alle diese Programme haben eine Quelle, und diese Quelle versiegt anscheinend nicht.

Der Ursprung dieser Quelle ist ein dafür bekannter, und auch schon verurteiter Dialerparasit,
sein Name, Mario Dolzer (er darf laut Urteil als Parasit bezeichnet werden).
Es finden sich zahlreiche Berichte und Artikel dazu im WWW, hier nur ein kleiner Ausschnitt.

http://www.onlinekosten.de/news/artikel/19721 Aktueller Bericht auf Onlinekosten
http://www.heise.de/newsticker/meldung/62538 Beweis für Trojanerverteilung von Heise
http://www.dslteam.de/news/artikel/19088 Urteil zur Bezeichnung als Dialerparasit

Das neueste "Tool", die help.exe, wird derzeit nur vom http://www.nod32.de/home/home.php Antivirenprogg NOD32 ,
als Schadprogramm erkannt und auch beseitigt.

Das fatale an den aufgezählten Mieslingen spiegelt sich in http://board.protecus.de/t21450.htm diesem Thread wieder.
Die Liste der Seiten die dort im Posting 5 stehn ist ellenlang, nur das die Bookmarks nicht unbedingt vom User gemacht werden müssen,
die Schadproggs machen das selbst und mir Absicht.
Zusätzlich sammeln sie noch Daten, von denen der User nicht unbedingt etwas mitbekommt, und füttern so die Quelle noch mit Infos.
Diese Infos werden dann ausgenutzt um andere evtl. kräftig abzocken zu können, siehe den Bericht von Onlinekosten.

Ich habe dieses Posting verfasst um alle ein wenig über die Problematik aufzuklärn,
hoffe es findet bei euch Beachtung.

gruß
Hausgeist

Ps: ein Anpinnen wäre evtl. fein

#2 Hallo,
könntest du noch mal näher erläutern was Wareout oder der hier genau mit dem "Dialerparasiten" zu tun haben sollen?

Edit
und falls du die Einträge in die hosts von Posting #4 meinst, so sind diese von Kazaa erstellt, und blocken nur, leiten aber auf keine andere Seite um, was soll daran verwerflich sein?


Grüße Wildone

#3 Sorry, kann die URL zwar aufrufen, bekomme aber einen Error "The requested URL cannot be found on this server! "

Um was genau gehts da ?

#4 Hallo,
habe den Link noch mal verbessert, geht er jetzt?

Zitat

Um was genau gehts da ?

Um einen der Schädlingw den der User aus dem von dir verlinkten Beispielthread hat. Zu den host Einträgen habe ich oben noch mal was im Edit geschrieben.

Grüße Wildone

#5 Nun wirds etwas klarer, die meisten Kazaaclienten die derzeit wohl in Benutzung sind, stammen ebenfalls aus der obigen Quelle.
Schau einfach mal nach wer die Seiten betreibt, die diese Proggs anbieten,
und du wirst fast immer fündig.
Der Programmcode ist längst verändert worden, aber nicht zum nutzen der User.

#6 Hallo,
okay mein Fehler, viele (nicht alle) Einträge sind von Kazaa light (ohne die Adware die normalerweise von Kazaa mitgeliefert wird). Und die Einträge bewirken das gefährliche Seiten und Werbung geblockt werden (dir sagt die host 127.0.0.1 etwas?) und sind dort zum Nutzen des Users.
Gefährlich wird es erst wenn man durch die host Dateien auf andere Seiten umgeleitet wird, dies wird in deinem Beispielthread aber nur von diesem einzelnen Eintrag(im HijackThis Log):
O1 - Hosts: 213.159.117.51 download.globaldialer.net
bewerkstelligt.


Grüße Wildone

#7 Hallo Hausgeist

ich finde alle Diskussionen interessant, die zum Ursprung von Malware fuehren koennen.

Allerdings ist in deinem aufgefuehrten Thred eine
O17 - HKLM\System\CCS\Services\Tcpip\..\{19A802FD-28FC-4C21-9E2A-AA3410919862}: NameServer = 85.255.116.155,85.255.112.203

vorhanden, welche gehoert zu:

Zitat

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

wir bezeichnen diese Malware als Wareout und wie ich bisher mitbekommen habe, installiert sie sich wenn man sich auf bestimmten, gewissen... Seiten rumdrueckt......

Nun meine Frage: was hat das mit dem von dir angesprochenen Dialer zu tun ? Glaubst du, dass es da einen Zusammenhang gibt ?
__________
MfG Sabina

rund um die PC-Sicherheit

#8 *grins* der beste Host is der Local Host, gelle
Das Prob sind ja grad die Versionen die aus, für den "Normalverbraucher" nicht offensichtlichen unsicheren Seiten, runtergeladen werden.
Intressante IP, kam aus RU, wurde aber über 2 weitere geleitet...
der Reversecheck bringt dann ne ellenlange Liste der Knoten,
selbst jetzt kamman das noch sehn.

Edit: huhu Sabrina, dadurch das dieser ****** auch zig Schmuddelseiten hat, die alle verteilt auf teilweise Ausländischen Servern liegen,
würds mich nicht wundern.

#9 Hallo,
als noch ein letztes mal, die host Einträge sind harmlos und dazu da Werbung zu blockieren (mit Einschränkung von dem einen genannten). Was die veränderte DNS angeht so kann das durchaus sein das die etwas mit dem Dialerkerl zu tun haben, aber diese Behauptung müßtest du dann doch noch etwas mit Fakten unterfüttern.
Es soll ja auch noch andere Bösewichte in den weiten des Internets geben.


Grüße Wildone

#10 Das Prob dabei ist, wenn kurzfristig Seiten umgeleitet werden, haste später nicht mehr viel was auf einen speziellen "Freund" hinweist.
Wenn muss man schaun was eine aktuelle Liste der aufgezeigten URL's ergibt,
anhand von WhoIs Abfragen können dann auch Quervervindungen zu LTD's ect. hergestellt werden.

Sicherlich gibts noch andere, neuste Masche ist das Anbieten von Gratis SMS,
doch wer meint nur das "Schnupperangebot" mal mitzunehmen, der irrt,
in vielen Fällen hat man dann plötzlich ein Abo am Hacken.
Einzig die sofortige mehrmalige Kündigung bringt Abhilfe, wers verpennt hat erstmal ne Rechnung im Kasten.